ข้อมูลองค์กร ข้อมูลส่วนตัว และการให้พนักงานใช้ notebook

ลองนึกภาพองค์กรแห่งหนึ่ง ซึ่งมีผลประกอบการดี พนักงานมีประสิทธิภาพ และองค์กรนั้น ก็เสริมความสามารถของพนักงานด้วยการอนุญาตให้ใช้ notebook computer (บางท่านก็ถนัดเรียกว่า laptop แบบชาวอเมริกัน) เป็นรายบุคคล … ฟังดูก็ดี เรื่องธรรมดา

ต่อมา พนักงานในองค์กร ก็เริ่มทำงานได้มีประสิทธิภาพมากขึ้น งานยากๆบางชนิด ก็ให้ข้อมูลมาเป็นไฟล์ ดูได้กันที่เครื่อง และเก็บไว้ใน hard disk เพราะเครื่องยุคปัจจุบันมันทั้งเล็ก และเร็ว แถมยังมีความจุสูง … ฟังดูก็ดี เรื่องธรรมดา

อยู่มาวันหนึ่ง พบว่าคอมพิวเตอร์พนักงานถูกขโมย ทางบริษัทก็ตรวจสอบดู เป็นว่าไม่ได้เป็นความประมาทของพนักงาน แถมยังถูกทุบกระจกรถด้วย เมื่อฟ้องตำรวจแล้วก็จบกันไป แถมยังประกันเครื่องหายเอาไว้ เคลมบริษัทประกันได้ครบจำนวน แล้วพนักงานท่านนั้นก็ได้เครื่องใหม่ไปใช้งานต่อไป … ฟังดูก็คล้ายๆเรื่องธรรมดา

แต่หากเครื่อง notebook ที่หายไป มีไฟล์จำนวนมากของบริษัท มีทั้งแผนการเงิน ประวัติพนักงาน เงินเดือนและความดีความชอบที่อยู่ในการดูแล รวมทั้งมี auto-password สำหรับเข้าระบบของบริษัทด้วย คลิ๊กปุ่มเดียว เช็ค email ได้เลย เพราะมีการบันทึกให้เครื่องจำ password ให้ทั้งหมด แล้ว ฝ่ายไอทีของหน่วยงานคงจะต้องทำอะไรบ้าง? มันคงมากกว่าแค่การจัดซื้อ notebook ตัวใหม่แน่นอน

ยิ่งไปกว่านั้น หากพนักงานท่านนั้น ใช้ internet banking กับบัญชีส่วนตัวของตนเองกับธนาคาร และเครื่อง notebook เครื่องนั้น ก็มีไฟล์เกี่ยวกับชื่อบัญชี มี statement เก่าๆของบัญชีเก็บไว้ในเครื่อง เราคงพอสรุปได้ ว่าหากคอมพิวเตอร์ที่หายไปหรือถูกลักขโมยไป ถ้าไปอยู่ในมือของนักวิเคราะห์ เพื่อทำการปลอมเป็นตัวพนักงาน และเข้าเว็บไปถอนเงินหรือโอนเงิน ท่าทางจะไม่ยากนัก

ประเด็นนี้ เราคงต้องถามตัวเองกันบ่อยๆ ว่าหากในหนึ่งชั่วโมงข้างหน้า ท่านเกิดมีเหตุที่คาดไม่ถึง (และคงเป็นไปไม่ได้) ที่ทำให้เครื่องของท่านถูกโจรกรรม และไปตกอยู่ในมือของมิจฉาชีพ ที่ต้องการมากกว่าแค่ตัวเครื่อง ท่าจะทำอย่างๆไร ? หากท่านดูแลทีมไอทีของบริษัท ท่านจะทำอย่างไร? หากท่านเป็นเจ้าของหรือเป็นผู้บริหารของบริษัท ท่านจะทำอย่างไร ? คำถามมีสองชนิด คือ (๑) สูญเสียไปแล้ว จะเยียวยาอย่างไร จึงจะไม่เกิดปัญหาอาชญากรรมคอมพิวเตอร์ กับ (๒) หากได้แก้ตัว จะกำหนดนโยบาย และวิธีการในองค์กรอย่างไร จึงจะทำให้ไม่เกิดความเสี่ยงขึ้น หาก notebook ถูกโจรกรรม หรือหลงลืมไว้แล้วหายไป

องค์กรที่มีข้อมูลภายในที่สำคัญ อยู่ในเครื่องประเภทเคลื่อนที่ เช่น PDA, Laptop, Smart Phone อาจจะต้องทำการประเมินสถานการณ์ และกำหนดระเบียบการในหารนำอุปกรณ์เหล่านั้นไปใช้งานนอกสำนักงาน และจัดมาตรการต่างๆที่ทำให้เกิดการสูญเสียต่อข้อมูลภายในบริษัทมากที่สุด หากองค์กรใด เคยทำมาแล้ว ถ้าจะแบ่งปันความรู้ให้กับองค์กรอื่น ก็จะเป็นสิ่งดี ยิ่งไปกว่านั้น ท่านที่เคยได้ใช้ซอฟต์แวร์ดีๆ มาจัดการกับเครื่อง notebook อย่างเป็นระบบ ก็อาจจะแบ่งปันความรู้เกี่ยวกับสิ่งเหล่านี้ได้

มาตรการต่างๆ อาจจะแบ่งเป็นสามเรื่อง

๑. ในการอนุญาตให้พนักงานถือเครื่อง notebook ไปที่ไหนก็ได้ จะต้องมีข้อกำหนดการใช้งานอย่างไรบ้าง (การแยก user การบังคับให้ทำ Windows login การดูแล Hard disk การบังคับใช้ password ตอนเปิดเครื่อง รวมถึงการเข้ารหัสลับเพื่อแฟ้มข้อมูลต่างๆ ฯลฯ)

๒. การใช้ระบบเข้ารหัสลับข้อมูลใน drive D หรือ drive อื่นๆ

๓. การใช้ master password ควบคุม web browser ให้ปฏิเสธการใช้ autosaved passwords หากผู้ใช้ไม่มี browser master password และ การใช้ master password ควบคุม email client ให้ปฏิเสธการใช้ autosaved passwords หากผู้ใช้ไม่มี master password

ทั้งหมดนี้ สามารถหาคำตอบและโปรแกรมฟรีๆ มาใช้งานได้ แต่แม้จะมีโปรแกรมใช้ฟรี หน่วยงานก็คงยังต้องการคนมาจัดการ หรือให้คำแนะนำ ทำประกาศออกมา รวมทั้งการมีระบบลงทะเบียนต่างๆ เพื่อให้ตามได้ ว่าเครื่องใด ของใคร ป้องกันกันอย่างไร ฯลฯ อยู่ดี หากสิ่งต่างๆเหล่านี้เป็นที่ต้องการ หน่วยงานของรัฐที่มีความชำนาญเรื่องนี้ เช่น เนคเทค ก็อาจจะรับฟังปัญหา และหาทางช่วยได้

ท้ายสุด ต้องขอขอบคุณที่อ่าน ผมจะขอทราบความเห็นจากทุกท่านที่อ่าน ว่าหน่วยงานของท่านควรจะทำมาตรการและวิธีลดความเสี่ยงแบบนี้หรือไม่? หากต้องการ ท่านมีคนช่วยคิด/ทำหรือยัง? ท่านคิดว่าด่วนขนาดไหนครับ?